Globale Auswirkungen (zum Zeitpunkt der Verbreitung)
- 580 öffentlich zugängliche Unitronics PLCs
Die am stärksten betroffenen Länder:
1. USA
2. Belgien
3. Australien
4. Niederlande
5. Israel
Zusammenfassung
Angesichts der eskalierenden Spannungen im Zusammenhang mit dem jüngsten iranischen Vergeltungsschlag gegen Israel am Samstag, den 11. April 2024, rät Censys Unternehmen dringend, proaktive Maßnahmen zu ergreifen, um sich auf potenzielle Cyber-Folgen vorzubereiten. Dies ist besonders wichtig für industrielle Steuerungssysteme wie die speicherprogrammierbaren Steuerungen (SPS) von Unitronics, die in der Vergangenheit in den USA von iranischen Bedrohungsgruppen angegriffen wurden.
Im November letzten Jahres veröffentlichte die CISA eine Warnung über die Ausnutzung von öffentlich zugänglichen, in Israel hergestellten Unitronics PLCs in US-Wassersystemnetzwerken durch die iranische APT-Gruppe "CyberAv3ngers". Die Bedrohungsgruppe nutzte schwache und voreingestellte Passwörter, um die Kontrolle über die Geräte der Aliquippa Water Authority zu erlangen und den Betrieb zu stören.
Am 18. März 2024 hat Unitronics acht neue Schwachstellen in Unistream PLCs gepatcht, die alle Versionen vor 1.35.227 betreffen und deren Schweregrad von hoch bis kritisch reicht.
Beschreibung der Anlage
SPS sind Netzwerkschnittstellen zur Betriebstechnologie (OT) und zu physischen Vorgängen, die den Beginn oder das Ende von Vorgängen steuern können. Wie der Aliquippa-Wasser-Hack gezeigt hat, bedeutet die Abhängigkeit kritischer Infrastrukturen von OT oft auch die Abhängigkeit von PLCs. Diese physischen Operationen und OT werden häufig zur Steuerung und Überwachung großer industrieller Prozesse verwendet, die Gemeinschaften unterstützen. Es ist eine allgemein anerkannte Sicherheitspraxis, sicherzustellen, dass diese SPS nicht direkt über das öffentliche Internet zugänglich sind, und Organisationen sollten Sicherheitsmaßnahmen zur Verhinderung dieser und anderer SPS-Störungen Priorität einräumen.
Aufprall
Mögliche Folgen einer erfolgreichen Ausbeutung
Für Bedrohungsakteure ist es ein Leichtes, ungeschützte SPS im Internet ausfindig zu machen, und ebenso einfach ist es, Standardpasswörter auszunutzen.
Was die kürzlich bekannt gewordenen Sicherheitslücken vom März betrifft, so hat das Team, das sie entdeckt hatkönnen die acht Schwachstellen es einem Angreifer ermöglichen, die systemeigenen Authentifizierungs- und Autorisierungsfunktionen des Produkts zu umgehen, und sie können verkettet werden, um Remotecodeausführung zu erlangen". Mit anderen Worten: Diese Schwachstellen könnten für Angreifer ausgereicht haben, um Unitronics PLCs ein weiteres Mal zu überwinden.
Bei den Angriffen im Wasser- und Abwassersektor hätten die potenziellen Folgen von Betriebsunterbrechungen aufgrund von Kompromissen bei der Abhängigkeit der Einrichtungen von SPSen die Fähigkeit der Wassereinrichtungen gefährden können, sauberes Wasser zu liefern und Abfälle zu entsorgen, und damit Leben zerstören können.
Betroffene Vermögenswerte
Nach Angaben des Entdeckers, Claroty, betreffen diese Schwachstellen alle Unitronics PLCs vor Version 1.35.227.
CensysDasRapid Response Team war in der Lage, gefährdete Unitronics Unistream PLCs zuidentifizieren. Im Folgenden finden Sie Methoden, mit denen Censys ASM-Kunden alle gefährdeten Unitronics-SPSen in ihren Umgebungen ausfindig machen können. Für bestimmte Versionen empfiehlt Censys den Besitzern, diese Anlagen direkt zu untersuchen. Es wird jedoch darauf hingewiesen, dass es ratsam ist, alle öffentlich zugänglichen PLCs aus dem öffentlich zugänglichen Internet zu entfernen.
Censys ASM-Risikobezeichnung für potenziell gefährdete Geräte
"Exponierte Unitronics UniStream PLC"
Die obige Abfrage findet exponierte Unitronics Unistream PLCs, die mit Ihrer Organisation in Ihrem ASM-Arbeitsbereich verbunden sind, innerhalb von etwa 24 Stunden.
Censys ASM-Abfrage für exponierte Assets.
Diese Abfrage wird für Kunden freigegeben, die die Versionierung für benutzerdefinierte Vorgänge verfeinern oder ändern möchten.
Censys Search Abfragen
werden direkt an die Kunden von Censys weitergegeben. Wenn Sie die Abfrage Censys erhalten möchten, um globale Instanzen im Zusammenhang mit diesem Problem zu identifizieren, oder wenn Sie Hilfe benötigen, kontaktieren Sie uns bitte.
Empfehlungen für die Behebung
Wenn Sie Hilfe bei der eindeutigen Identifizierung dieser Vermögenswerte benötigen, lassen Sie es uns bitte wissen.